{"id":28161,"date":"2022-02-17T08:39:42","date_gmt":"2022-02-17T06:39:42","guid":{"rendered":"https:\/\/www.kaspersky.de\/blog\/?p=28161"},"modified":"2022-02-18T17:41:48","modified_gmt":"2022-02-18T15:41:48","slug":"lurk-cybercrime-inc","status":"publish","type":"post","link":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/","title":{"rendered":"Lurk: ein hochgradig organisiertes Cybercrime-Unternehmen"},"content":{"rendered":"

Der langwierige Prozess gegen die Entwickler des Banking-Trojaners Lurk<\/a> ist nach jahrelanger Arbeit nun endlich beendet. Die Gruppe Cyberkrimineller konnte dank einer beispiellosen Zusammenarbeit einer Vielzahl von Beh\u00f6rden sowie der Hilfe unserer Experten gestoppt werden. Obwohl die T\u00e4ter bereits im Jahr 2016 festgenommen wurden, zogen sich die Ermittlungen und das Gerichtsverfahren weitere f\u00fcnf Jahre in die L\u00e4nge. In Anbetracht der Zahl der beteiligten Verd\u00e4chtigen und Opfer ist dies alles andere als \u00fcberraschend: So mussten die an Lurk beteiligten Cyberkriminellen beispielsweise in mehreren Bussen zum Gericht gefahren werden; die Fallakten umfassten 4000 B\u00e4nde (ein Band \u00e1 250 Seiten). Der Arbeitsaufwand war enorm und zeitraubend, Akten und Aussagen wurden bis ins kleinste Detail analysiert, bis im Jahr 2018 endlich 27 Angeklagte vor Gericht standen.<\/p>\n

Kaspersky war den Machenschaften der Gruppe bereits seit 2011 auf der Spur. Ich selbst h\u00f6rte zum ersten Mal von Lurk, als ich 2013 Teil des Unternehmens wurde und erinnere mich noch genau daran, wie ich damals dachte: \u201eWenn du diese Gruppe schnappst, kannst du in Rente gehen und deine Karriere unter \u201eerfolgreich\u201c abspeichern.\u201c Im Vergleich zu anderen Cyberkriminellen der damaligen Zeit wirkten die Drahtzieher hinter Lurk sowohl technisch als auch organisatorisch sehr ausgereift. Wenn ich Lurk heute begegnen w\u00fcrde, w\u00e4re ich wahrscheinlich weniger beeindruckt und w\u00fcrde sie als Gruppe einstufen, die sich an bereits vorhandenen Best Practices orientiert.<\/p>\n

Das verh\u00e4ngte Gerichtsurteil ist dennoch eine gute Ausrede, um erneut einen Blick auf die Besonderheiten ihrer cyberkriminellen Aktivit\u00e4t zu werfen.<\/p>\n

Die Strategie hinter der Infektion<\/h2>\n

Werfen wir zun\u00e4chst einen Blick auf den Infektionsvektor. Die Angreifer nutzten eine Watering-Hole-Taktik<\/a>, indem sie eine Weiterleitung zu einem Exploit-Kit auf mehreren Business-Medien-Websites ver\u00f6ffentlichten. Die Methode selbst war nicht neu, aber in diesem spezifischen Fall musste das Opfer (bei dem es sich \u00fcbrigens immer um einen Buchhalter handelte) die Website w\u00e4hrend seiner Mittagspause (und zwar nur zu dieser Zeit) besuchen, um eine erfolgreiche Infektion zu erm\u00f6glichen. Im Anschluss lud das Exploit-Kit einen Trojaner auf den Computer der Zielobjekte, der dann ausschlie\u00dflich zum Aussp\u00e4hen eingesetzt wurde.<\/p>\n

Die Cyberkriminellen untersuchten zun\u00e4chst, welche Programme auf den Computern der Opfer liefen, ob es Hinweise auf Banking- oder Spuren von Ermittlungssoftware gab und in welchen Subnetzen die Workstations arbeiteten (der Fokus lag hier vor allem auf Banken- und Regierungsnetzwerken). Mit anderen Worten: sie stuften die Computer nach Interessantheit ein und wussten somit ganz genau, wen<\/em> sie infizieren wollten.<\/p>\n

Die elementare Malware wurde nur dann heruntergeladen, wenn der Computer auch tats\u00e4chlich von Interesse f\u00fcr die Angreifer war. War dies nicht der Fall, entwendeten sie lediglich alle verf\u00fcgbaren Passw\u00f6rter und entfernten die Malware anschlie\u00dfend vom Computer des Opfers.<\/p>\n

C&C-Kommunikation<\/h2>\n

Mindestens genauso bemerkenswert war der Informationsaustausch zwischen dem Trojaner und dem Command-and-Control-Server<\/a> (C&C). Die Mehrheit der damaligen Trojaner enthielt die hartcodierte C&C-Adresse. Angreifer mussten so lediglich einen Domainnamen festlegen und hielten sich auf diese Weise die M\u00f6glichkeit offen, die IP-Adresse des Servers im Notfall zu \u00e4ndern. Wenn sie also beispielsweise die Kontrolle \u00fcber die prim\u00e4re C&C-Adresse verloren, konnte diese ganz einfach durch eine Backup-Adresse ersetzt werden. Kurz gesagt: ein ziemlich primitiver Sicherheitsmechanismus. Lurk war in dieser Hinsicht ein vollkommen anderes Kaliber: Denn die Gruppe setzte eine Methode ein, die sich f\u00fcr einen Spionageroman h\u00e4tte klassifizieren k\u00f6nnen.<\/p>\n

Vor einer Kommunikationssitzung berechnete Lurk die Adresse des C&C-Servers. Dazu \u00f6ffneten die Cyberkriminellen Yahoo und sahen sich den aktuellen Aktienkurs eines bestimmten Unternehmens an (zum Zeitpunkt unserer Recherche handelte es sich dabei um McDonald\u2019s). Abh\u00e4ngig vom jeweiligen Aktienwert generierten sie einen Domainnamen und griffen darauf zu. Will hei\u00dfen: um den Trojaner zu kontrollieren, warfen die Cyberkriminellen einen Blick auf den jeweils aktuellen Aktienkurs und registrierten auf der Grundlage dessen einen Domainnamen. Diese Vorgehensweise machte es unm\u00f6glich, im Voraus zu wissen, welcher Domainname f\u00fcr den C&C-Server verwendet werden w\u00fcrde.<\/p>\n

Dies wirft eine berechtigte Frage auf: Wenn der Algorithmus in den Trojaner eingebettet war, was hinderte Forscher daran, eine solche Sequenz zu generieren und einen Domainnamen noch vor den Cyberkriminellen zu registrieren, um dann lediglich einen Verbindungsaufbau mit dem Trojaner abzuwarten? Ganz einfach: die Angreifer verwendeten asymmetrische Kryptografie:<\/a> Das hei\u00dft, dass zun\u00e4chst ein Schl\u00fcsselpaar (bestehend aus einem \u00f6ffentlichen und einem geheimen Schl\u00fcssel) generiert wurde. Daraufhin \u00fcberpr\u00fcfte der auf den C&C-Server zugreifende Bot anhand des \u00f6ffentlichen Schl\u00fcssels, ob dieser tats\u00e4chlich zu seinen legitimen Eigent\u00fcmern geh\u00f6rte (dies geschah durch die \u00dcberpr\u00fcfung der digitalen Signatur). Ohne die Kenntnis des geheimen Schl\u00fcssels ist eine F\u00e4lschung unm\u00f6glich. Aus diesem Grund kann nur der Besitzer des geheimen Schl\u00fcssels Anfragen von Bots erhalten und Befehle erteilen \u2013 externe Forscher sind nicht in der Lage, den C&C-Server zu imitieren. Andere Cyberkriminelle verwendeten diese Schutzmethode \u00fcbrigens zur damaligen Zeit nicht. Entdeckten wir also einen solchen Schutzmechanismus auf einem Server, konnten wir sicher sein, dass Lurk dahinter steckte.<\/p>\n

Organisierte Infrastruktur<\/h2>\n

Das Set-up von Lurks Prozessen verdient eine gesonderte Erw\u00e4hnung. Waren andere cyberkriminelle Gruppierungen damals nur ein beliebiger Haufen von Forennutzern, von denen jeder eine spezifische Aufgabe \u00fcbernahm, konnte man Lurk im Gegensatz fast als vollwertiges IT-Unternehmen betrachten. Tats\u00e4chlich ist es zutreffender, die Gruppe mit einem gro\u00dfen Softwarekonzern zu vergleichen als mit einer cyberkriminellen Gruppierung. Auch auf organisatorischer Ebene sind die Kriminellen bis heute Vorbild f\u00fcr viele andere Gruppen.<\/p>\n

Lurk wurde von echten Profis (h\u00f6chstwahrscheinlich mit ausgepr\u00e4gter Erfahrung im Bereich Entwicklung) betrieben, die eine hochgradig organisierte Infrastruktur mit Managern und HR-Mitarbeitern aufgebaut hatten. Im Gegensatz zu vielen anderen Cybercrime-Gruppen zahlten sie ihren Angestellten ein reales Gehalt (und wir sprechen nicht von einem Anteil des Erl\u00f6ses). Auch w\u00f6chentliche Briefings standen damals auf der Agenda der Gruppe, eine v\u00f6llig undenkbare Sache f\u00fcr jede andere Gruppierung.<\/p>\n

Sie verf\u00fcgten sogar \u00fcber ein klar strukturiertes rollenbasiertes System, um den Zugriff auf bestimmte Informationen zu beschr\u00e4nken. So konnten bzw. durften einige Gruppenmitglieder erst nach ihrer Festnahme einen Blick auf die Korrespondenzen der Drahtzieher werfen und stellten erst dann fest, dass sie unfair behandelt worden waren.<\/p>\n

Akribisch dokumentierten sie all ihre Aktivit\u00e4ten, mit deutlich mehr Liebe zum Detail als viele IT-Unternehmen dies heutzutage tun w\u00fcrden. Eine Praxis, die die sp\u00e4teren Ermittlungen nicht nur erheblich unterst\u00fctzte, sondern den Kriminellen vermutlich auch zum Verh\u00e4ngnis wurde: denn je systematischer vorgegangen wird, desto wahrscheinlich wird eine m\u00f6gliche \u00dcberf\u00fchrung.<\/p>\n

Wissensdatenbanken<\/h3>\n

Die Lurk-Gruppe f\u00fchrte eine detaillierte und vor allem strukturierte Wissensdatenbank, die in Projekte unterteilt war. Jedes Projekt wurde ausschlie\u00dflich einem bestimmten Personenkreis zug\u00e4nglich gemacht, d. h. die Teilnehmer der jeweiligen Projekte wussten nicht \u00fcber die Aktivit\u00e4ten anderer Projekte und Mitglieder Bescheid. Der Umfang der Projekte war sehr unterschiedlich, von hochtechnisch bis hin zu rein organisatorisch. Und auch die technischen Projekte waren in Ebenen unterteilt. Beispielsweise hatten die Entwickler der Trojaner nur Zugriff auf die Wissensdatenbanken zu verwandten Themen: wie man Virenschutzprogramme umgeht, usw. Es gab aber auch allgemeine Datenbanken zur Betriebssicherheit (diese glichen realen Sicherheitsvorschriften, die man so auch in Gro\u00dfunternehmen finden kann). Diese lieferten Informationen \u00fcber den Einsatz von Anonymisierungstools sowie \u00fcber die Gestaltung von Arbeitspl\u00e4tzen zur Vermeidung einer \u00dcberf\u00fchrung.<\/p>\n

Zugriff auf Informationen<\/h3>\n

Um Zugriff auf die Informationsressource von Lurk zu erhalten, mussten sich Cyberkriminelle \u00fcber mehrere VPNs mit einem Server verbinden. Schon damals erhielten sie nur Zugriff auf das Bot-Management. Als n\u00e4chstes bekam jeder Mitarbeiter sein eigenes Zertifikat und sein eigenes Konto mit unterschiedlichen Rechten. Im Grunde genommen wie ein normales Unternehmensnetzwerk, dass auf die Heimarbeit seiner Mitarbeiter ausgerichtet ist. Im Gro\u00dfen und Ganzen h\u00e4tte man die Gruppe, abgesehen von der fehlenden 2FA, als Vorzeigeunternehmen bezeichnen k\u00f6nnen.<\/p>\n

Physisch befanden sich alle Server in verschiedenen Rechenzentren und in verschiedenen L\u00e4ndern, was es gr\u00f6\u00dftenteils so schwer machte, die Gruppe ausfindig zu machen.<\/p>\n

Entwicklung<\/h3>\n

Die Lurk-Gruppe verf\u00fcgte \u00fcber geeignete Quellcode-Repositorien, automatisierte Erstellungs- und mehrstufige Testverfahren, einen Produktionsserver, einen Testserver und einen Entwicklungsserver. Im Grunde genommen stellten sie also ein ernsthaftes Softwareprodukt her und verf\u00fcgten jederzeit \u00fcber eine Produktions-, Test- und Entwicklerversion des Trojaners.<\/p>\n

Der durchschnittliche C&C-Server eines typischen Trojaners konnte damals Anfragen von Bots empfangen, sie in einer Datenbank protokollieren und ein Admin-Panel bereitstellen, um sie zu verwalten. All dies wurde effektiv auf einer einzigen Seite umgesetzt. Lurk implementierte das Admin-Panel und die Datenbank separat, w\u00e4hrend der Mechanismus zum Senden von Antworten f\u00fcr Bots durch einen zwischengeschalteten Dienst vollst\u00e4ndig verdeckt wurde.<\/p>\n

Exploit-Kits<\/h3>\n

Lurk verf\u00fcgte \u00fcber drei Exploit-Kits, von denen jedes seinen eigenen Namen trug: ein internes; eines f\u00fcr Kunden und Partner; und ein von den Forschern zugewiesenes. Es war jedoch so, dass die Entwickler von Lurk nicht nur ihr eigens entwickeltes Exploit-Kit nutzten, sondern zudem weitere Exploit-Kits an andere Cyberkriminelle verkauften. Dar\u00fcber hinaus hatten die Versionen f\u00fcr \u201ePartner\u201c einen anderen Code \u2013 eindeutig ein Versuch, sie als ein anderes sehr beliebtes Exploit-Kit zu tarnen.<\/p>\n

Lurk: Der Niedergang<\/h2>\n

Alle Tricks und Mittel halfen den Cyberkriminellen am Ende wenig: denn die meisten Mitglieder der Gruppe wurden festgenommen. Allerdings erst, als der Schaden bereits angerichtet war: im Laufe ihrer \u201eKarriere\u201c gelang es den Angreifern, rund 45 Millionen US-Dollar zu entwenden. Unsere Experten haben ihre Methoden fast sechs Jahre lang studiert; Zeit, die uns \u00fcbrigens wertvolle Erfahrungen lieferte, die wir auch in der Gegenwart weiterhin einsetzen, um der Cyberkriminalit\u00e4t den Kampf anzusagen.<\/p>\n

Diejenigen, die sich f\u00fcr die gesch\u00e4ftsrelevanten Erkenntnisse aus dieser Saga interessieren, empfehlen wir diesen Beitrag<\/a>. Eine detaillierte technische Analyse finden Sie auf Securelist<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"

Unser Forscher l\u00e4sst den Fall \u201cLurk\u201d Revue passieren.<\/p>\n","protected":false},"author":2701,"featured_media":28183,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[6],"tags":[1424,3939,323,2209,648],"class_list":{"0":"post-28161","1":"post","2":"type-post","3":"status-publish","4":"format-standard","5":"has-post-thumbnail","7":"category-news","8":"tag-analyse","9":"tag-banking-bedrohung","10":"tag-banking-trojaner","11":"tag-gerechtigkeit","12":"tag-untersuchung"},"hreflang":[{"hreflang":"de","url":"https:\/\/www.kaspersky.de\/blog\/lurk-cybercrime-inc\/28161\/"},{"hreflang":"en-in","url":"https:\/\/www.kaspersky.co.in\/blog\/lurk-cybercrime-inc\/23908\/"},{"hreflang":"en-ae","url":"https:\/\/me-en.kaspersky.com\/blog\/lurk-cybercrime-inc\/19394\/"},{"hreflang":"ar","url":"https:\/\/me.kaspersky.com\/blog\/lurk-cybercrime-inc\/9752\/"},{"hreflang":"en-us","url":"https:\/\/usa.kaspersky.com\/blog\/lurk-cybercrime-inc\/26146\/"},{"hreflang":"en-gb","url":"https:\/\/www.kaspersky.co.uk\/blog\/lurk-cybercrime-inc\/24107\/"},{"hreflang":"es-mx","url":"https:\/\/latam.kaspersky.com\/blog\/lurk-cybercrime-inc\/23917\/"},{"hreflang":"es","url":"https:\/\/www.kaspersky.es\/blog\/lurk-cybercrime-inc\/26921\/"},{"hreflang":"it","url":"https:\/\/www.kaspersky.it\/blog\/lurk-cybercrime-inc\/26465\/"},{"hreflang":"ru","url":"https:\/\/www.kaspersky.ru\/blog\/lurk-cybercrime-inc\/32377\/"},{"hreflang":"tr","url":"https:\/\/www.kaspersky.com.tr\/blog\/lurk-cybercrime-inc\/10523\/"},{"hreflang":"x-default","url":"https:\/\/www.kaspersky.com\/blog\/lurk-cybercrime-inc\/43683\/"},{"hreflang":"fr","url":"https:\/\/www.kaspersky.fr\/blog\/lurk-cybercrime-inc\/18559\/"},{"hreflang":"pt-br","url":"https:\/\/www.kaspersky.com.br\/blog\/lurk-cybercrime-inc\/19008\/"},{"hreflang":"pl","url":"https:\/\/plblog.kaspersky.com\/lurk-cybercrime-inc\/15804\/"},{"hreflang":"ja","url":"https:\/\/blog.kaspersky.co.jp\/lurk-cybercrime-inc\/32446\/"},{"hreflang":"nl","url":"https:\/\/www.kaspersky.nl\/blog\/lurk-cybercrime-inc\/28118\/"},{"hreflang":"ru-kz","url":"https:\/\/blog.kaspersky.kz\/lurk-cybercrime-inc\/24829\/"},{"hreflang":"en-au","url":"https:\/\/www.kaspersky.com.au\/blog\/lurk-cybercrime-inc\/30251\/"},{"hreflang":"en-za","url":"https:\/\/www.kaspersky.co.za\/blog\/lurk-cybercrime-inc\/30030\/"}],"acf":[],"banners":"","maintag":{"url":"https:\/\/www.kaspersky.de\/blog\/tag\/banking-bedrohung\/","name":"Banking-Bedrohung"},"_links":{"self":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28161","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/users\/2701"}],"replies":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/comments?post=28161"}],"version-history":[{"count":30,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28161\/revisions"}],"predecessor-version":[{"id":28193,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/posts\/28161\/revisions\/28193"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media\/28183"}],"wp:attachment":[{"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/media?parent=28161"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/categories?post=28161"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.kaspersky.de\/blog\/wp-json\/wp\/v2\/tags?post=28161"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}